Le présent guide constitue, pour les opérateurs relevant du Code des postes et des communications électroniques, la déclinaison pratique de l’obligation réglementaire instaurée par l'article D. 98-5 du Code des postes et des communications électroniques. Il tient compte des spécificités instaurées par l’article 34 de la loi n°2018-607 de programmation militaire 2019-2025
1s’agissant des incidents de cyber- sécurité.
1 Codifié aux articles L. 33-14 et suivants du Code des postes et communications électroniques.
Version 4.0 Page 3/17
Historique des versions
Ce document regroupe un ensemble de préconisations ayant pour objectif de préciser la manière dont les opérateurs doivent satisfaire à leurs obligations légales en matière de déclaration d’incidents. Ce guide est régulièrement mis à jour pour tenir compte de l’expérience acquise sur des incidents réels, les évolutions réglementaires, et les retours des opérateurs.
Ce guide résulte des travaux du groupe de travail CICRESCE « Signalisation d’incidents » initié en 2012 et piloté par le CCED et l’ANSSI. Ce groupe réunissait des représentants des principaux opérateurs de réseaux de communications électroniques ouverts au public (Orange, SFR, Bouygues Télécom et Free) ainsi que des représentants de l’ARCEP et de la DGSCGC.
L’application de ce guide a ensuite été étendue à de nouveaux opérateurs jugés importants parmi les opérateurs de Datacenter, les hébergeurs Web, les fournisseurs de services aux entreprises et les plateformes de service.
La version 4 du guide est issue des travaux du CCED en 2022 pour définir un plan de résilience du dispositif des communications d’urgence. L’application de ce guide est étendue à tous les opérateurs de communications électroniques en métropole et en outre-mer. Les autres modifications concernent les seuils d’alerte qui ont été revus et l’introduction de la notion de
« services essentiels » dont l’importance pour le fonctionnement des réseaux et des appels d’urgence nécessite un suivi particulier de la part des opérateurs.
Version du guide Date de création État
Version 3.0 27/05/2020 Abrogé
Version 4.1 22/03/2022 En vigueur
Glossaire
ANSSI Agence nationale de la sécurité des systèmes d’information
ARCEP Autorité de régulation des communications électroniques et des postes CCED Commissariat aux communications électroniques de défense
CICRESCE Commission interministérielle de coordination des réseaux et des services de communications électroniques pour la défense et la sécurité publique
COGIC Centre opérationnel de gestion interministérielle de crise COSSI Centre opérationnel de la sécurité des systèmes d'information CPCE Code des postes et des communications électroniques
DGSCGC Direction générale de la sécurité civile et de la gestion des crises
SHFDS Service du Haut Fonctionnaire de défense et de sécurité des ministères économiques et financiers
LPM Loi de programmation militaire MEF Ministères économiques et financiers
MNO « Mobile Network Operator » ; Opérateur de communications électroniques MVNO « Mobile Virtual Network Operator », ou opérateur de communications
électroniques virtuel
PSAP « Public Safety Answering Point » (Centre de réception des appels d’urgence)
Version 4.0 Page 5/17
TABLE DES MATIÈRES
1. À quoi sert ce guide ? ... 6
2. Qui sont les opérateurs concernés ? ... 6
3. Quels incidents doivent être déclarés ? ... 7
4. Quelles informations fournir aux autorités ? ... 9
5. Quand envoyer une déclaration ? ... 10
6. Où envoyer une déclaration ? ... 11
7. Retour d’expérience après un incident ... 13
8. Demander une évolution du guide ... 13
Annexe A. Contexte réglementaire ... 14
Extrait de l’article L. 33-14 du CPCE ... 14
Extrait de l’article D. 98-5 du CPCE ... 14
Annexe B. Formulaire de déclaration d’incident ... 15
Annexe C. Annuaire des autorités à informer ... 16
1. À QUOI SERT CE GUIDE ?
L’article D.98-5 du CPCE (Code des postes et communications électroniques) précise que les opérateurs de communications électroniques informent le ministre de l'Intérieur (DGSCGC/COGIC) de toute atteinte à la sécurité ou de perte d'intégrité ayant un impact significatif sur le fonctionnement des réseaux ou des services2.
Dans cette optique, ce guide vise trois objectifs :
1. Caractériser la notion d’« incident de sécurité » ayant un impact significatif sur le fonctionnement des réseaux ou des services. »
2. Définir les modalités pratiques de déclaration des incidents en spécifiant :
les autorités à informer ;
les informations à fournir aux autorités ;
3. Servir de support de communication pour faire connaître cette procédure :
aux personnels des opérateurs concernés par le traitement des incidents ;
aux organisations de l’administration (DGSCGC/COGIC, ANSSI/COSSI, MEF/HFDS, MEFR/DGE/CCED) ayant à connaître de la survenance d’un incident chez un opérateur.
2. QUI SONT LES OPÉRATEURS CONCERNÉS ?
Sont concernés par la déclaration des incidents, au sens de la réglementation citée en Annexe A, tous les opérateurs de réseaux de communications électroniques fixes ou mobiles exploitant un réseau ouvert au public et offrant tout ou partie des services de téléphonie ou d’accès à l’Internet.
2 Se référer à l’Annexe A pour le texte.
Version 4.0 Page 7/17
3. QUELS INCIDENTS DOIVENT ÊTRE DÉCLARÉS ?
Les incidents d’intégrité
On entend par « incident d’intégrité » un incident résultant d’un dysfonctionnement technique des réseaux et infrastructures ayant un impact significatif sur le fonctionnement des services offerts par un opérateur.
Les incidents de sécurité
On entend par « incident de sécurité » la détection ou la suspicion d’une attaque sur les systèmes d’information des opérateurs.
Seuils caractérisant un incident significatif
Le tableau n°1 page suivante vise à définir la notion d’impact significatif d’un incident. Il précise, pour les principaux services fournis par les opérateurs, les seuils établissant une frontière entre un incident significatif et un incident qui ne nécessite pas d’informer l’État. Selon les services, ces seuils portent sur :
a) Le nombre d'utilisateurs touchés par l'incident ; b) La durée de l'incident ;
c) L'étendue géographique de la zone touchée par l'incident;
d) La mesure dans laquelle le fonctionnement du réseau ou du service est affecté ; e) L'ampleur de l'impact sur les activités économiques et sociétales.
Un incident ayant un impact significatif doit être déclaré selon la procédure indiquée au chapitre 5.
Tableau 1 - Seuils d'alerte aux autorités
Services concernés Seuil pour alerter les autorités Services de communications
ouverts au public
Téléphonie fixe ou mobile.
Accès Internet fixe ou mobile.
Incident entrainant l’indisponibilité totale d’un service, concernant :
au moins 50 000 abonnés ou au moins 50 sites radios (sur une zone géographique limitée) ;
sur une durée de deux heures.
Services d’urgence
Acheminement des appels
d’urgence Taux d’efficacité d’appels inférieur à 50 % vers l’un des numéros d’urgence :
112 (dont eCall), 15, 17 ou 18 ;
Sur une durée d’une heure.
Services de localisation des
appels d’urgences Impossibilité de fournir l’un des services de localisation sur une durée dépassant une heure.
Raccordement des PSAP Concerne les opérateurs de terminaison3
Indisponibilité totale du raccordement d’un PSAP sur une durée de 2 heures
Interconnexion entre opérateurs
Interconnexion voix
Interconnexion internationale
Interconnexion IP ou Internet
Baisse du taux d’efficacité du réseau d’au moins 40 % sur l’interconnexion vers l’un des 4 principaux opérateurs4 sur une durée dépassant deux heures.
En cas de perte totale de l’interconnexion vers l’un de ces 4 opérateurs, le délai est ramené à une heure.
Services aux entreprises
Téléphonie fixe ou mobile.
Données fixe ou mobile
Indisponibilité totale d’un service sur :
une durée dépassant deux heures ;
au moins 2 000 établissements d’entreprise5 impactés (quel que soit la taille de l'entreprise).
Services aux entreprises
Hébergement Web
Hébergement de données
Indisponibilité totale d’un service sur :
une durée dépassant deux heures ;
au moins 2000 établissements d’entreprise concernés (quelle que soit la taille de l'entreprise).
3 Opérateur de terminaison : opérateur qui gère la connexion du réseau avec un centre de traitement des appels d’urgence.
4 Les 4 opérateurs principaux sont : Bouygues Télécom, Free, Orange et SFR.
5 La notion « d’établissement d’entreprise » désigne soit une entreprise avec un établissement unique, soit un site d’une entreprise quand celle-ci dispose de plusieurs établissements.
Version 4.0 Page 9/17
4. QUELLES INFORMATIONS FOURNIR AUX AUTORITÉS ?
Lorsqu’un opérateur détecte un incident sur son réseau celui-ci doit informer les autorités indiquées au chapitre 7 en fournissant autant d’éléments que disponibles pour faciliter la compréhension de l’incident et son impact :
une référence d’incident. Cette référence est créée par l’opérateur lors de la déclaration initiale et sera réutilisée pour toute déclaration de mise à jour et la déclaration de clôture ;
un contact que les autorités pourront joindre pour s’informer sur l’incident en cours ;
un descriptif de l’incident, rédigé d’une manière claire et non technique, expliquant la nature et l’origine de l’incident ;
une évaluation de l’impact de l’incident en indiquant :
o la nature du réseau concerné (mobile, fixe, Internet…) ;
o la localisation et l’étendue géographique de la zone concernée ; o une estimation du nombre d’abonnés concernés ;
o dans le cas d’un incident sur un réseau mobile : le nombre de sites radios concernés.
Une attention particulière sera apportée pour préciser l’impact de l’incident sur les communications d’urgence.
les mesures prises pour assurer la continuité du service ;
les mesures prises pour retrouver un fonctionnement nominal ;
l’évolution prévisible de l’incident : par exemple, une estimation du temps nécessaire pour retrouver un service normal ;
l’opérateur doit contribuer, en concertation avec les autorités administratives, à la définition de mesures de contournement, de mesure conservatoire à prendre par l’administration, de consignes à donner aux usagers, etc.
5. QUAND ENVOYER UNE DÉCLARATION ?
Déclaration initiale - Dès que les seuils précisés dans le tableau n°1 sont atteints, l’opérateur adresse une déclaration d’incident selon la procédure indiquée au chapitre 7. L’opérateur dispose d’un délai de 15 minutes après le franchissement du seuil pour établir la déclaration.
Lors de la déclaration initiale, l’opérateur alerte les autorités de la survenue d’un incident en cours et fournit les informations disponibles au moment de la déclaration.
L’opérateur définit une référence d’incident qui sera réutilisée pour les déclarations ultérieures : mises à jour ou de clôture.
IMPORTANT : Les durées d’indisponibilité mentionnées dans le tableau n°1 ont été établies pour donner le temps nécessaires aux opérateurs de détecter puis d’analyser l’incident.
Néanmoins, en cas d’un incident exceptionnel par son ampleur, et en particulier si l’incident touche les communications d’urgence, l’opérateur doit établir une déclaration d’incident « dès qu’ils en ont connaissance ».
Déclaration mise à jour - Comme il n’est pas toujours possible de disposer des informations précises ou complètes dès la déclaration initiale, l’opérateur effectuera des mises à jour selon le même modèle, en faisant référence au même incident et précisera les éléments utiles. Cette mise à jour pourra préciser les causes de l’incident, l’impact de l’incident, les mesures prises, ou les délais de rétablissement du service.
Si la situation évolue (notamment lors d’un évènement climatique), et que les éléments de la déclaration initiale, ne sont plus à jour (notamment s’agissant de l’impact), l’opérateur adresse une actualisation en faisant référence à l’incident initial.
Déclaration de clôture - Dès la fin de l’incident, une déclaration de clôture est établie selon la même procédure. Celle-ci actualise les informations, notamment les causes de l’incident et les mesures ayant permis d’y remédier. Cette déclaration de clôture est adressée aux mêmes destinataires que la déclaration initiale.
Afin de faciliter la lecture et la compréhension de l’incident par les autorités, les opérateurs doivent :
utiliser le formulaire de déclaration proposé en 0 ;
copier le contenu de la déclaration dans le corps du mail plutôt que d’utiliser des pièces jointes.
Version 4.0 Page 11/17
6. OÙ ENVOYER UNE DÉCLARATION ?
La procédure décrite ci-dessous doit être suivie pour toute déclaration initiale, mise à jour et clôture d’incident. Cette procédure est à suivre 24h/24 et 7 jours /7.
Tout incident de sécurité doit être déclaré conjointement : au COGIC aux coordonnées suivantes :
envoi d’un mail à cogic-centretrans@interieur.gouv.fr ;
si l’incident est critique : confirmer l’envoi par un appel téléphonique au centre de veille du COGIC au +33 1 45 64 46 46 ;
le mail contiendra la déclaration d’incident en reprenant le modèle proposé en 0 ; et au CERT-FR (ANSSI) aux coordonnées suivantes. :
envoi d’un mail à cert-fr.cossi@ssi.gouv.fr et par un appel téléphonique à la permanence opérationnelle au +33 1 71 75 84 68 ;
le mail contiendra la déclaration d’incident en reprenant le modèle proposé en 0. ;
l’ANSSI propose sur son site https://www.ssi.gouv.fr/en-cas-dincident/ des éléments pour avoir les bons réflexes et à contacter les bons correspondants.
Tout incident d’intégrité correspondant aux critères de gravité mentionnés au chapitre 3, doit être déclaré au ministère de l'intérieur (DGSCGC/COGIC) :
envoi d’un mail à cogic-centretrans@interieur.gouv.fr ;
si l’incident est critique : confirmer l’envoi par un appel téléphonique au centre de veille du COGIC au +33 1 45 64 46 46 ;
le mail contiendra la déclaration d’incident en reprenant le modèle proposé en 0.
Dans tous les cas, à la réception d’une déclaration d’incident, le COGIC informe par mail les différents services concernés, dont la permanence du SHFDS des MEF (06 86 30 86 25 ou mail à permanence.hfds@finances.gouv.fr) qui relaie la déclaration vers le CCED (voir les coordonnées en Annexe C).
Le CCED peut être sollicité par le COGIC pour obtenir son avis sur un incident ou pour obtenir des informations auprès des opérateurs.
Figure 1 - Circuit d’envoi des déclarations d'incident
SHFDS des MEF
Service du Haut fonctionnaire de défense et de sécurité
CCED
Commissariat aux communications électroniques
de défense
Opérateur
COGIC
Centre opérationnel de gestion interministérielle des
crises
Services concernés
(PSAP, préfecture, ministres…)
Informe ou sollicite
Déclare un incident significatif
Version 4.0 Page 13/17
7. RETOUR D’EXPÉRIENCE APRÈS UN INCIDENT
Après la résolution de l’incident, qu’il soit lié à la sécurité ou à l’intégrité du réseau, le CCED peut demander à l’opérateur, en liaison avec le SHFDS des MEFR, d’organiser dans ses locaux, au plus près des spécialistes, une réunion de retour d’expérience sur l’incident. Le but est d’en comprendre la genèse, de se faire présenter le cas échéant le plan d’actions que mettra en place l’opérateur mais aussi d’en tirer des enseignements pour les autres opérateurs. L’ANSSI est invitée à cette réunion de retour d’expérience6.
En tant que de besoin, le ministère de l'Intérieur (DGSCGC/COGIC) et l’ANSSI communiquent leur retour d'expérience en vue de l’amélioration des procédures.
8. DEMANDER UNE ÉVOLUTION DU GUIDE
Ce guide a vocation à évoluer pour tenir compte de l’expérience acquise, des évolutions légales ou réglementaires, de la nature des opérateurs susceptibles de déclarer des incidents. Les utilisateurs, qu’ils soient émetteurs potentiels de déclarations d’incident ou destinataires de ces déclarations, peuvent proposer des évolutions du guide.
Les demandes d’évolution sont à transmettre au CCED par mail, en précisant dans l’objet
« Modification du Guide de déclaration des incidents ».
Ministère Autorité Adresse mél.
MEFR CCED incidents-cced.dge@finances.gouv.fr
6 Pour les incidents relevant d’un traitement au titre de l’article 34 de la LPM, l’ANSSI peut être l’initiateur de la réunion de retour d’expérience et dans ce cas invite le CCED et le SHFDS en tant que de besoin à cette réunion.
ANNEXES
Annexe A. - Contexte réglementaire
Extrait de l’article L. 33-14 du CPCE
Article L. 33-14 du Code des postes et des communications électroniques7 :
« […] Lorsque sont détectés des événements susceptibles d'affecter la sécurité des systèmes d'information, les opérateurs de communications électroniques en informent sans délai l'autorité nationale de sécurité des systèmes d'information. […] »
Extrait de l’article D. 98-5 du CPCE
Article D. 98-5 du code des postes et des communications électroniques8 :
« III. – Sécurité des réseaux et des services.
[…] Dès qu'il en a connaissance, l'opérateur informe le ministre de l'Intérieur de tout incident de sécurité ayant un impact significatif sur le fonctionnement de ses réseaux ou de ses services. Ce dernier en informe le ministre chargé des communications électroniques ainsi que les services de secours et de sécurité susceptibles d'être concernés. Lorsque l'atteinte à la sécurité résulte ou est susceptible de résulter d'un incident d'origine informatique, l'opérateur en informe également l'autorité nationale de défense des systèmes d'information. L'opérateur se conforme, le cas échéant, aux prescriptions techniques requises par le ministre chargé des communications électroniques pour remédier ou prévenir l'incident de sécurité.
Le caractère significatif de l'impact de l'incident de sécurité est déterminé en particulier au regard des paramètres suivants :
a) le nombre d'utilisateurs touchés par l'incident de sécurité ; b) la durée de l'incident de sécurité ;
c) l'étendue géographique de la zone touchée par l'incident de sécurité ;
d) la mesure dans laquelle le fonctionnement du réseau ou du service est affecté ; e) l'ampleur de l'impact sur les activités économiques et sociétales.
Dès que l'opérateur a mené une analyse des causes et des conséquences de l'incident de sécurité, il en rend compte au ministre chargé des communications électroniques et à l'autorité nationale de défense des systèmes d'information dans le cas où cette dernière avait été informée ainsi que des mesures prises pour éviter leur renouvellement. Le ministre chargé des communications électroniques en informe les ministres intéressés. […] »
7 Texte en vigueur à la date de publication de la présente version du guide.
8 Texte en vigueur à la date de publication de la présente version du guide.
Version 4.0 Page 15/17
Annexe B. - Formulaire de déclaration d’incident
Référence [Opérateur]_[COGIC/Cert-fr]_[Date]_[Heure déclaration]
Déclaration ☐ Ouverture ☐ Mise à jour ☐ Clôture
Date date Heure hh :mm.
Déclarant (personne à contacter sur l’incident)
M (me) entrer Nom/prénom.
Titre Titre/Fonction.
Tél. : Téléphone Portable : Portable
Mél. : Adresse mél.
Descriptif de l’incident
Nature et origine présumée de l’incident
Faire évoluer ce paragraphe lors d’une mise à jour ou de la clôture
Services impacté par l’incident
Téléphonie Urgences Systèmes essentiels Autres services
☐ Fixe
☐ Mobile
☐ Autre
☐ Téléphone
☐ Localisation
☐ Autre
☐ Interco voix
☐ Interco IP
☐ Autre
☒ Hébergement web
☐ Accès Internet
☐ Autre
Estimation de l’impact (abonnés, % erreurs…)
Estimation du nbr abonnés., nb sites radios touchés.
Localisation et étendue de la zone concernée par l’incident
Toute autre observation utile pour décrire l’impact de l’incident, en précisant les conséquences sur les appels d’urgence.
Mesures prises
Premières investigations, intervention en cours, contournement, mise en sécurité, etc.
Évolution prévisible
Délai de rétablissement envisageable à ce stade, stabilisation/ extension de l’incident, résolution en cours, etc.
Observation Proposition de mesure conservatoire à prendre par l’administration, de consignes à donner aux usagers, contact privilégié sur l’incident…
Annexe C. - Annuaire des autorités à informer
Ministères Autorité Téléphone Adresse mél.
Ministère de
l’Intérieur COGIC
(DGSCGC) 01 45 64 46 46 cogic-centretrans@interieur.gouv.fr Service du
Premier ministre CERT-FR
(ANSSI) 01 71 75 84 68 cert-fr.cossi@ssi.gouv.fr Ministère
économiques et financiers
Permanence
SHFDS 06 86 30 86 25 permanence.hfds@finances.gouv.fr Astreinte
CCED 01 79 84 38 98 incidents-cced.dge@finances.gouv.fr
Version 4.0 Page 17/17